Discussion :

[Panther]

Bonjour,

Je veux enregistrer les données du formulaire d'enregistrement de membre dans la BD sur le serveur. Mais voilà que je suis embêté pour ce qui est de la connection à la BD. Dois-je faire un compte spécialement pour me brancher qui a les droits pour faire des "INSERT"?

Quelle façon me conseillez-vous d'adopter afin que ce soit clean et sécuritaire?

Merci !

[julp]

De quel SGBD s'agit-il ? Pourquoi vouloir créer un compte spécial et en auriez-vous la possibilité ? Je vous rappelle que la source de vos scripts PHP n'est pas (directement) accessible à vos visiteurs.


Julp.

[Panther]

Merci pour la réponse rapide Julp !

J'utilise Mysql comme SGBD. Cette dernière contient une table membre pour les inscriptions et lorsque je code le traitement php pour la mettre à jour, je me demande de quelle façon procéder pour connecter l'utilisateur à la bd afin d'inscrire ses infos. Créer un compte commun pour tous les membres qui vont manipuler la BD ou en créer un pour chacun ?

Si j'en crois votre commentaire, je n'ai pas à me soucier de la sécurité étant donné que le code php n'est pas visible par l'utilisateur, donc le mot de passe peut être mis en clair dans le script ?

[julp]

Cette dernière contient une table membre pour les inscriptions et lorsque je code le traitement php pour la mettre à jour, je me demande de quelle façon procéder pour connecter l'utilisateur à la bd afin d'inscrire ses infos. Créer un compte commun pour tous les membres qui vont manipuler la BD ou en créer un pour chacun ?

Tout d'abord pour pouvoir le faire il faut avoir les droits adéquats (GRANT OPTION si je ne m'abuse mais les gourous du forum MySQL pourront vous en dire plus). Ceci me paraît être une mesure excessive et lourde pour "si peu" (voir la suite ci-dessous).

Si j'en crois votre commentaire, je n'ai pas à me soucier de la sécurité étant donné que le code php n'est pas visible par l'utilisateur, donc le mot de passe peut être mis en clair dans le script ?

Par rapport à vos visiteurs, c'est exact. Mais c'est pas une raison pour négliger le reste de la sécurité d'une manière générale (fonction mysql_real_escape_string de vigueur).


Julp.

[Panther]

Merci Julp!

Tout d'abord pour pouvoir le faire il faut avoir les droits adéquats (GRANT OPTION si je ne m'abuse mais les gourous du forum MySQL pourront vous en dire plus). Ceci me paraît être une mesure excessive et lourde pour "si peu" (voir la suite ci-dessous).

==>Ok, mais alors comment je fais pour me connecter à la BD ???

Par rapport à vos visiteurs, c'est exact. Mais c'est pas une raison pour négliger le reste de la sécurité d'une manière générale (fonction mysql_real_escape_string de vigueur).

Merci pour le turau! J'ai lu que cette fonction sécurise les requêtes envoyés au serveur mais serais-tu en mesure de m'expliquer en quoi ça sécurise l'envoi ?


Merci encore !

[julp]

Ok, mais alors comment je fais pour me connecter à la BD ???

Un seul compte MySQL suffira (à créer avec GRANT). Mais vous êtes sur un serveur, en local ? Vous ne disposez pas déjà d'un compte opérationnel ?

J'ai lu que cette fonction sécurise les requêtes envoyés au serveur mais serais-tu en mesure de m'expliquer en quoi ça sécurise l'envoi ?

Cette fonction échappe tous les caractères spéciaux et permet ainsi d'éviter l'injection de code SQL (abordé dans la FAQ).


Julp.

[Panther]

beaucoup Julp !